I think the best thing to do is put the key in the CPU (only 32-bytes here). There you have the intelligence built in to flush the key if the temperature drops below a certain value and have a flush mechanism if it detects any kind of power fluctuation.
Dies war ein User-Kommentar. Es meinte also, dass Beste wäre, den Key direkt in der CPU abzulegen, statt im RAM. Ist vielleicht eine Idee. Auf jeden Fall könnte ich mir vorstellen, dass es ohne Änderungen an der Hardware keinen anderen Weg geben wird, um dem Problem zu begegnen, denn der Key wird immer irgendwo im Klartext abgespeichert.
In den übrigen User-Kommentaren geht es u.a. auch um Hibernating bzw. um den Suspend-Mode von Notebooks. Das Mac Book Air legt sich ja nur in einen Schlafmodus und künftige Windows 8 Tablets bzw. Notebooks sollen ja gemäß Wintel Vorhaben auch nicht mehr jedesmal komplett runtergefahren werden. Mit dem Hintergrundwissen aus dem Artikel macht Festplattenverschlüsselung dann auch keinen Sinn mehr, zumindest wenn der entsprechende Rechner nicht komplett runtergefahren wurde. Der Artikel war aber von 2008. Nun sind ja schon 4 Jahre vergangen. Und noch hat sich wohl nichts auf diesem Gebiet getan...
Ja, habs schon gelesen. Interessantes Thema. Für Admins sichlich kalter Kaffee, für mich neu. Entwickelt von Uni-Erlangen. Ein Patch für den Linux-Kernel 3.0.x. Ist aber schon 1 Jahr alt.
TRESOR Runs Encryption Securely Outside RAM:
http://www1.informatik.uni-erlangen.de/tresor
Scheint vielversprechend zu sein, gerade weil in dem Zusammenhang auch Intels AES-NI Erweiterung nutzbar bliebe. Habe auch gelesen, dass bereits versucht wurde, die Keys im CPU-Cache abzulegen, was aber sehr langsam ist und bis zum Stillstand der CPU führen kann, im Gegensatz zu der Register-Variante, wie es Tresor macht. Sogar 256Bit Keys sind da möglich.
Gibt es nicht speziell gehärtete Kernel, wo der Tresor-Patch u.a. bereits integriert ist? Wird das generell Einzug in den Kernel haben? Gerade Distris wie Fedora müssten doch scharf sein, diese Technik zu integrieren, wo die doch so bleeding-edge sind.
Noch eine Anmerkung:
Dies war ein User-Kommentar. Es meinte also, dass Beste wäre, den Key direkt in der CPU abzulegen, statt im RAM. Ist vielleicht eine Idee. Auf jeden Fall könnte ich mir vorstellen, dass es ohne Änderungen an der Hardware keinen anderen Weg geben wird, um dem Problem zu begegnen, denn der Key wird immer irgendwo im Klartext abgespeichert.
In den übrigen User-Kommentaren geht es u.a. auch um Hibernating bzw. um den Suspend-Mode von Notebooks. Das Mac Book Air legt sich ja nur in einen Schlafmodus und künftige Windows 8 Tablets bzw. Notebooks sollen ja gemäß Wintel Vorhaben auch nicht mehr jedesmal komplett runtergefahren werden. Mit dem Hintergrundwissen aus dem Artikel macht Festplattenverschlüsselung dann auch keinen Sinn mehr, zumindest wenn der entsprechende Rechner nicht komplett runtergefahren wurde. Der Artikel war aber von 2008. Nun sind ja schon 4 Jahre vergangen. Und noch hat sich wohl nichts auf diesem Gebiet getan...
das ist der approach von "tresor" ... der vortrag auf dem letzten ccc war sehr interessant ... hoffentlich geht die entwicklung weiter!
http://events.ccc.de/congress/2011/Fahrplan/events/4869.en.html
Ja, habs schon gelesen. Interessantes Thema. Für Admins sichlich kalter Kaffee, für mich neu. Entwickelt von Uni-Erlangen. Ein Patch für den Linux-Kernel 3.0.x. Ist aber schon 1 Jahr alt.
http://www1.informatik.uni-erlangen.de/tresor
Scheint vielversprechend zu sein, gerade weil in dem Zusammenhang auch Intels AES-NI Erweiterung nutzbar bliebe. Habe auch gelesen, dass bereits versucht wurde, die Keys im CPU-Cache abzulegen, was aber sehr langsam ist und bis zum Stillstand der CPU führen kann, im Gegensatz zu der Register-Variante, wie es Tresor macht. Sogar 256Bit Keys sind da möglich.
Gibt es nicht speziell gehärtete Kernel, wo der Tresor-Patch u.a. bereits integriert ist? Wird das generell Einzug in den Kernel haben? Gerade Distris wie Fedora müssten doch scharf sein, diese Technik zu integrieren, wo die doch so bleeding-edge sind.